精睿最完整最强大ESS4.0图文设置全攻略 (一)

wren411

众所周知，ESS4.0已经发布了接近一年的时间了，可是网上仍旧没有一个关于ESS4.0完整详细的设置，这导致了许多人认为ESS的默认设置就是最好最优秀的，从而不去动手设置，也因此有些人认为ESS扫描文件夹病毒和对付U盘病毒的能力非常弱，可是在这里我想说的是ESET的高启发式扫描，ESET的高启正是ESET的精髓所在，所以我劝大家不要只是为了让杀软占用更少的资源才去选择ESET，轻、巧、快这是ESET2.7或者ESET3.0时代时候的评价了，可是现在是ESET4.0时代，所以下边我详细介绍下ESET的高启。ESET的EAV或者ESS的安装体积都只有30多MB.而卡巴或者BD甚至连金山都要比这个大，为什么？这就是ESET的经典之作了，因为ESET的安装体积之小是因为其病毒库之小，（它的病毒库只有典型病毒的基因码），但是它强大的高启可以帮助你搞定这些普遍的病毒，甚至于未知的病毒。特别要强调的一点就在ESET的查杀过程中如果杀出来的病毒或木马后面的解释为未查明的什么病毒或者木马，这就是靠他的高启搞定的，如果查出来的病毒或木马是直接告诉你该病毒或该木马的确切名称，那么这就是他的病毒库所搞定的。不过大家不要误解，高启发式扫描并不是万能的，也不是所有的病毒都能够查杀，而是变得更多了而已。所以我的建议是该开高启的地方一定要开高启，而不必要开的地方，我黄智琛是不会让您浪费资源的。

    这次我写的全攻略设置以图为主，以方便小白设置，当然我会给每个图都写上详细的介绍，告诉您这样设置比默认设置要好到哪儿。但是大家一定要谨记，ESS是带有防火墙的，而对于防火墙的设置因人而异，我写这篇文章的目的只是供给大家参考，也是对网上的残缺进行填补。设置是灵活的，具体来说就是因人而异，请大家有兴趣的话自己在琢磨一下了。


1.设置
刚刚装完ESS后，界面仍是标准界面。
切换后，按下F5或者点击设置找到高级设置，开始

1.病毒和间谍软件防护 的界面

一定要启用反隐藏技术，这一项可以在系统中检测隐藏的不安全程序，例如ROOTKITS，所以必须勾选，接下来是他的检察系统启动文件也就是THREATSENSE引擎参数设置。

对象

这个普通用户基本都是在网页上收发电子邮件，因此不必开启，帮您节省资源，但是用邮件客户端的用户比如WINDOWS自带的Outlook Express、FoxMail等等一些邮件客户端就必须要勾选了，可以帮忙查杀现在比较猖獗的邮件中的病毒或木马，所以建议勾选，不勾选的话也节省不了过多的资源所以建议用邮件客户端收发电子邮件的用户勾选。


现在有很多病毒都是加过壳的，这样可以使ESS帮助你查杀更多的病毒，当然开启后对系统资源占用的并不是很大，所以有必要将所有打上勾。
接下来是选项


这个需要全部勾选，这个可以让您的电脑更加的安全，毫无对电脑的影响，特别是那个高启，这精髓不能失去，普通的启发式扫描帮不了您的，只有高启+启发式扫描+病毒库才能帮助您更加安全的使用。

处理威胁

这个不建议改动，如果设置为严格清除的话，那样会给您造成很多不必要的麻烦，比如如果一个文件中含有病毒或木马，ESET扫描的时候发现了，那样他将不是去清除病毒而是在您不介入的情况下直接将整个文件删除，您将追悔莫及，所以建议您选择默认设置也就是介于中间，这样如果有了误报，您可已将其还原，排除，继续正常使用，而不是去自责。
这个扩展名自己觉得默认设置即可，不过智琛提醒您一定不要加入以.EXE这种后缀的，因为很多病毒正是以.EXE后缀的文件去破坏电脑的。所以在您自己在更改时一定要注意些。还是不要动的好。
那个限制默认即可，全部勾选。
其它默认也可以，如果您想经常在无聊的时候查看ESET干了些什么，可以全部勾选，不过浪费资源，这个就取决与您了。



2.文件系统实时防护

关于那个要扫描的对象中的网络磁盘和关机时来说可以关闭，少占用一些资源，毕竟网络磁盘基本就用不到，那个关机时可以勾选，不会有太大的影响，不过自己觉得ESET已经在您开机时和使用过程中防护、检查过了，完全是没有必有开启此项了，所以个人建议不勾选。

“文件系统实时防护”的“ThreatSense 引擎参数设置”：
这里面的 “对象”界面：


ESS4.0在默认的对象界面在加壳程序前是不打勾的，不过自己觉得其实开启也不会降低电脑的运行速度的，B版说如果你确认安装ESS前本机无毒，可以保持默认不打勾，否则请打勾，但是会稍微降低计算机的运行速度。所以个人推荐打勾，加强使用。

选项这一点


ESS默认的“选项”界面在“高级启发式扫描”和“潜在的不安全应用程序”前是不打勾的，因为前边“用于新建文件和已修改文件的其它 ThreatSense 参数”的设置里已经包括了“高级启发式扫描”。
这个中的潜在的不安全应用程序，默认是不开启的，可是这样会造成系统中比较多的潜在的软件不能被ESET所查杀、检测，但是勾选后可能会对注册机或破解的一些软件此类的程序一般是指远程访问工具、密码破解应用程序以及按键记录器的扫描报毒，属于比较正常的现象，如果您确定是误报的话，可以讲软件排除或者直接不勾选。那个高启可以不用开，因为在“文件系统实时防护”的“高级设置”中自己会提到的。

这个中的处理威胁默认即可，同病毒和间谍软件防护。
最后的扩展名、限制和其他默认的即可。

“文件系统实时防护”的“高级设置”




除了下面的那个阻止可移动磁盘不勾选外，其他全部勾选，在默认的设置中那个文件被执行时采用高级启发式扫描是不勾选的，这个勾选的话前面的那个“文件系统实时防护”的“ThreatSense 引擎参数设置”中的选项中的高启可以关闭，这就是原因，这样可以直接搞定，比那样只是开着高启扫描更到位些。那3个统统勾选的在默认设置下也是开启的，一定不要随意关闭，这可是ESET“文件系统实时防护”的重中之重哦。

    特别告诉大家一点关于ESET的高启：高级启发式扫描具有一种独特的启发式扫描算法，该算法由 ESET 开发，它使用高级编程语言编写而成，用于提高恶意软件的检测率。

高级启发式通过前摄性的分析程序代码，或者通过构建虚拟环境让代码在其中运行以分析其动作，能够有效的检测未知恶意软件。

ESET的高级启发式检测技术被命名为ThreatSense技术，该技术的优势就在于平衡了检测率和误报率，因此ThreatSense技术在提高检测率的同时极少产生误报。

所以开启高级启发式扫描容易误杀的说法是不正确的。

    我们也建议您开启高级启发式扫描，以得到有效保护。病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个应用程序在最初的指令是检查命令行输入有无参数项，清屏和保存原来屏幕显示等，而病毒程序则从来不会这样做，它通常最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。　　启发式扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。　　因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”　　一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序列开始：MOV AH ,5/INT,13h， 即调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。 在具体实现上，启发式扫描技术是相当复杂的。通常这类病毒检测软件要能够识别并探测许多可疑的程序代码指令序列，如格式化磁盘类操作，搜索和定位各种可执行程序的操作，实现驻留内存的操作，发现非常的或未公开的系统功能调用的操作，等等，所有上述功能操作将被按照安全和可疑的等级可以排序，根据病毒可能使用和具备的特点而授以不同的加权值。 随便举个例子，格式化磁盘的功能操作几乎从不出现在正常的应用程序中，而病毒程序中则出现的几率极高，于是这类操作指令序列可获得较高的加权值，而驻留内存的功能不仅病毒要使用，很多应用程序也要使用，于是应当给予较低的加权值。如果对于一个程序的加权值的总和超过一个事先定义的阀值， 那么， 病毒检测程序就可以声称“发现病毒！”仅仅一项可疑的功能操作远不足以触发“病毒报警”的装置，如果不打算上演“狼来了”的谎报和虚报来故意吓人，最好把多种可疑功能操作同时并发的情况定为发现病毒的报警标准。　　启发式扫描通常应设立的标志，为了方便用户或研究人员直观地检测被测试程序中可疑功能调用的存在情况，病毒检测程序可以显示为不同的可疑功能调用设置标志。例如，TbScan（参见注释）这一病毒检测软件就为每一项它定义的可疑病毒功能调用赋予一个旗标，如F,R,A……， 这样以来可以直观地帮助我们对被检测程序进行是否染毒的主观判断。
这是百度到的，请大家自己百度一下看一下更多的关于高启的真正详细的介绍，从而确定您是否在意ESET的高启。

“文件系统实时防护”的“文档防护”


这个默认就是全部启用的，这个功能自己感觉有些重复，不过安全起见还是要勾选，开启的。


这个中的潜在的不安全应用程序程序仍旧是不勾选的，不过自己认为为了计算机的安全，其实有必要勾选的，毕竟前面已经说了。
处理威胁默认即可。
这个中的扩展名自己添加了迅雷临时的文件TD，毕竟有很多人反映在迅雷即将下载完毕转换为正式文件时会很卡，CPU迅速攀升到100%，所以将其排除即可。B版提醒注意，文件名后缀格式是“TD”，不是“.TD”,更不是“*.TD”，如果你输入了第三个，那么你的计算机将非常快，就好象没装ESS一样，因为“*.TD”被ESS解释为“*”，含义就是不扫描所有文件。



这个限制和其它继续保持默认即可，没有必要去进行更改。




3.电子邮件客户端防护

在那个THREATSENSE引擎参数设置中对象默认即可全部选择，选项如图



仍旧是在潜在的不安全应用程序前打勾，同前面。
后面的处理威胁、扩展名、限制以及其它默认设置即可。


4.电子邮件客户端


自己没有用电子邮件客户端，因为自己都是在网页上收发电子邮件，因此所有的都不必勾选，帮您节省资源，但是用邮件客户端的用户比如WINDOWS自带的Outlook Express、FoxMail等等一些邮件客户端就必须要勾选了，可以帮忙查杀现在比较猖獗的邮件中的病毒或木马，所以建议勾选，不勾选的话也节省不了过多的资源所以建议用邮件客户端收发电子邮件的用户勾选，当然，使用默认的就可以了。
操作的默认即可，ESS这一点做的很不错的，很人性化，特别到位。
那个POP3,POP3S是为FOXMAIL等一些非OUTLOOK等客户端所准备的，所以请大家自己手动添加，不需要做过多更改。

5.WEB访问保护


那个电子邮件不同与病毒和间谍软件防护了，所以需要勾选上.


这个选项已经说了很多次了，我想大家已经明白了吧。
处理威胁、扩展名、限制和其它仍旧可以使用默认的。

Web 访问保护的原理就是ekrn随计算机启动建立一个本机的SOCKS 5代-理服务器，地址为127.0.0.1，端口为：30606，访问网络的程序会先连接到这个本机代-理服务器，再通过它来连接外网。用IE来仔细描述一下：现在IE要访问http://bbs.vc52.cn，如果没有安装ESS，IE会直接连接到vc52，安装ESS后流程变为这样：1、IE提交请求给ekrn；2、Ekrn通过本机SOCKS 5代-理服务器将请求转发给http://bbs.vc52.cn；3、http://bbs.vc52.cn将回复的数据返回给ekrn建立的本机SOCKS 5代-理服务器；4、Ekrn截获数据，进行扫描；5、如扫描无毒，则ekrn将数据提交给IE，IE得到这些数据，在屏幕上显示网页内容；如扫描发现病毒，则ekrn终止和http://bbs.vc52.cn的连接，并将自己生成的报警页面提交给IE，IE就只能显示这个报警页面了。来自B版我很少见到ESS去拦截挂马网页的建议大家加一个金山网盾   我用的是默认   

WEB浏览器我只说一句ESET特别提醒：不要在浏览器和邮件客户端前边打叉！

用简单的示意图来表示就是网络程序提交/收取网络数据←→ekrn在中间转发并扫描这些网络数据←→网站

这个HTTP,HTTPS自己不太明白，请大家参考B版的吧。此处定义了ESS的“HTTP过滤器”扫描哪些端口的数据，结合上边“3.2.1 POP3过滤器”，可以看出，ESS默认仅对110、80、8080、3128这四个端口的传输数据进行扫描，换句话说，只要应用程序访问网站的这四个端口，那么ESS的ekrn就会提供扫描服务。
这里我添加了“1080”端口，因为我们自己开发的内部专用浏览器只能浏览我们内部网站的1080端口，为保证ESS可以扫描这种特殊情况下的网络数据，就需要手动添加进去，当然，如果此处不添加端口，也可以在下边将要讲到的“Internet 浏览器”列表中，将“我们专用的浏览器”添加进去，效果是一样的。


接下来是WEB浏览器
这个有很多人问，有什么用，他的介绍已经说的很明白了


可以将一些不兼容的软件的前面变为×，这样就可以不扫描了，提高性能，自己只在CF前大了一个×，毕竟其他软件可以完美使用呢，智琛建议大家最好不要将联网的软件前打×，这样可能无法使ESET扫描出该软件的网络中的病毒，所以大家最好不要将不太明白的软件或者程序前打×。

ESET特别提醒：不要在浏览器和邮件客户端前边打叉！

jack1986001

其实你早应该转发4.2的教程了

好像以前有人转过这篇帖子的，不过还是辛苦楼主分享了！！

依灵

支持下

xukai3100

支持一下，对于初学NOD32的人来说很有用啊

jy00147725

老贴了

strawman0719

这个帖子的设置很一般

ppcbetaa

受教很多

黑猫、警长

精睿的eset 一直是用户的最爱   精睿的eset是一绝

lion_lkm

ddddddddddddddd